EU s dataskyddsförordning Krav, utmaningar och möjligheter Lars Nikamo, Micro Focus lars.nikamo@microfocus.com
Svenska kunder 2 Ca 100 KOMMUNER
Verkligheten
Nuläge och framtid IDC Gartner 4
Cyberbrott There are two types of companies: those that have been hacked, and those who don't know they have been hacked John Chamber CEO, Cisco 1995-2015 5
6
Interna hot ökar Whether it s goofing up, getting infected, behaving badly, or losing stuff, most incidents fall in the PEBKAC and ID-10T über-patterns. På svenska kallas detta ibland felkod 60.. Source: Verizon Data Breach Investigation Report, 2015 7
Topp-7: Säkerhetsåtgärder som minskar kostnader Source: Ponemon 2015 Cost of Cybercrime Study: Global 8
9 Behörighetshantering och Administration
Identity Governance & Administration Hur kom vi hit? MetaDirectory Services Identity Provisioning Identity Management Access Governance Identity Governance & Administration Hantera identiteter automatiskt. Zero Day Start/Zero Day Stop. Utmaningar med automation gör att vi bara hanterar ett urval av applikationer Attesteringar, certifieringar etc erbjuds som alternativ Governance blir en del av automation och certifiering Provisioning and Governance marknaden går samman
Så nu är allt perfekt! (eller?)
Det finns 3 faktorer som begränsar användbarheten idag
# 1 Verksamheten bryr sig inte Verksamheten känner sig påtvingad att lösa problemet Bristande beslutsunderlag Resultatet blir dåligt pga rubber stamping och/eller dåligt deltagande Har du/ni den typen av problem?
#2 # 2 Tunnelseende kring Compliance Compliance för saken skull gör dig inte mer säker Compliance bör leda till bra säkerhet, inte få verksamheten att sluta engagera sig Hur bekväm är du med ert arbete kring Governance? Leder det till minskad risk och högre säkerhet?
#3 # 3 Blind Spots Hur, när och varifrån används applikationer? Verksamheten behöver uppdaterad och relevant information för att kunna ta beslut Periodiska certifieringar ger periodisk säkerhet Tar ni Governance beslut utan insikt kring vad användarna gör i systemen?
Adaptive Identity Governance Skapa en IGA modell Etablera Identity and Entitlement Catalog Låt verksamheten driva IGA Använd Analytics
Etablera Identity and Entitlement Catalog
Hur kan man skapa insikt kring vem som har åtkomst till vad?
The Identity Foundation Vem? Vem är dina användare? Anställda, inhyrd personal, kunder, partners och things Kräver en certifierad identitet Korrelera flera identitetskällor Definiera vem som äger attribut Representera organisatorisk information Lägg till sammanhang som verksamheten förstår
The Identity Foundation Vad? Komplexiteten ökar Behov av ägare för applikationer, konton och behörigheter Måste hänga ihop med verkligheten On-premise, Cloud, Federated Måste spegla verksamheten Verksamhets språk Inkludera risk, kostnad och ägare
The Identity Foundation Vem har Vad? Korrelera identiteter med applikationer, konton, roller och behörigheter Applicera sammanhang för verksamhet
Identity and Entitlement Catalog är en grundläggande component för IGA Innehåller identiteter och relationen till organisationen Eliminerar felaktiga uppdateringar Unikt för Micro Focus: Tillhandahåller en skalbar, flexibel och anpassningsbar modell oavsett typ och storlek på organisation Uppdateras i (nära) realtid för att upprätthålla rätt åtkomst
Skapa en IGA Modell
Nu vet du vem som har åtkomst till vad, borde de ha det?
Business Control Skapa en IGA Modell Verksamhetens kunskap Verksamheten vet vilka behörigheter som krävs använd den informationen Identity Based Policies Använd en attributsbaserad modell för verksamhetsroller för att underhålla behörigheter Risk Scoring Använd risk för att fokusera där det behövs Kontroll Använd kontroller för att upptäcka, hantera och åtgärda problem Identity Risk
Använd verksamhetsroller för att definiera auktorisation Jobb kod= 5400 Status = heltid Verksamhetsroll Ekonomi Anställd Avdelning = IT Titel innehåller Admin Privileged Administrator
Fokusera på undantag Minska behovet av att certifiera Minska behovet av att beställa och godkänna Leder till en effektivare organisation Verksamhetsroll Ekonomi Anställd Behörighet Acct - P1 Acct - P2 Acct P3 FT P1 FT P2 Undandag 1 Undantag 2 Undantag 3
Använd risk för att prioritera och förfina modellen Fokusera på vissa applikationer och /eller användare Prioritiera rätt vid certifieringar av behörigheter Mät hur effektivt ditt IGA program är
Definiera kontroller och regler för att hantera undantag Definiera SOD controller för att förhindra konflikter Specifiera giltighetstid på roller för att hantera tillfälliga behörigheter Skapa regler kring orphan accounts för att upptäcka och hantera systemkonton och delade konton
En IGA modell Ger organisationen makt och kunskap att bestämma vem som har vilken behörighet baserat på verksamhetsbehov Skaper en hanterbar modell och struktur för hantering av behörigheter Effektiv och konsistent hantering av behörigheter minskar risk
Verksamhetsdriven IGA
Hur kan man förbättra verksamhetens upplevelse?
Verksamhetsdriven beställning och godkännande Intuitivt gränssnitt Baserat på vem du är och vad du gör: Vad kan beställas? Krävs godkännande? Vem behöver godkänna?
Verksamhetsdriven behörighetscertifiering Intuitivt gränssnitt Sammanhangsinformation Identitet, applikation, konto och behörighet Risk scores Senaste inloggning Påvisa undantag
Flexibel åtgärd Åtgärd via service desk ServiceNow Remedy Åtgärd via automatiserad provisioning Manuell åtgärd (notifiering via epost) REST interface
Closed-Loop Fulfillment Access Revocation or Provisioning Verifiera att beställningar och borttag åtgärdas Jämför verkliga behörigheter med åtgärder Kontrollera status för felsökning och korrigering Access Certification or Request Verify Fulfillment Raise Audit Case
Rapportering Inkluderar rapportering Out-of-the-box och ad-hoc rapporter Schemalägg och distribuera Omfattande rapporter Identity & entitlement reports Access certification reports Access request and approval reports Compliance violation reports SOD violations Unmapped (orphan) accounts
Verksamhetsdriven IGA Tillhandahåller intuitiv upplevelse för verksamheten Ger verksamheten möjlighet att fatta beslut baserat på relevant information (sammanhang) Closed loop för att verifiera att beslut slår igenom Adresserar säkerhetsbehov Verksamheten vill ha självservice, men bara om de har nytta av det!
Analytics
Hur engagerar man verksamheten på ett effektivt och säkert sätt?
Beslutsstöd med sammanhang Lägg det viktigaste överst Beskriv varför det är viktigt Resulterar i mer korrekta beslut på kortare tid
Mätbarhet och KPIer Reducerar risk Effektiv governance ger högre säkerhet och nöjda auditörer Undersök antalet avslag, fördröjningar av åtgärder etc Bättre effekt genom att analysera trender
Upptäck händelser eller beteenden som är av intresse Skydda mot administrativa fel Presentera relevant säkerhetsinformation till den som bestämmer (verksamheten) 11/17/15: Fred logged in from two separate locations simultaneously 11/19/15: Fred requested access to a new module 11/20/15: Andy completed Fred s Access 11/21/15: Fred is no longer active in HR system 11/22/15: Fred downloaded customer data
IGA Powered by Analytics Minskar rubber-stamping Skapar sammanhang som hjälper att minska risk Gör din IGA lösning mer adaptiv i en föränderlig miljö
Sammanfattning IGA Löser viktiga utmaningar kring Dataskyddförordningen Rätten att bli glömd Minska risken/effekten för intrång (ransomware etc) Utöver det Livscykelhantering av attribut, grupper, distributionslistor etc Verksamheten vill veta vem som använder vilka tjänster Ordning och reda
Behörighetsgranskning Din kollega Anders Svensson har följande behörighet: Applikation: SITHS-kort Granskningsföremål: Behörighet Vägledning : Denna behörighet verkar olämplig. Behåll Ta bort Anders loggade senast in den 3 november 2015. Anders har loggat in med SITHS-kort 1 gång under de senaste 180 dagarna. 5% av användare liknande Anders har ett SITHS-kort. Anders blir den enda användaren inom ekonomiavdelningen med ett SITHS-kort. Om Anders Svensson Titel: Ekonomiassistent Avdelning: Ekonomi Placering: Kommunhuset, Säffle Om SITHS-kort Denna behörighet innebär att användaren tilldelas ett SITHS-kort vilket medger inloggning i vård- och journalapplikationer. Detta är en behörighet förknippat med hög risk. Ett SITHS-kort kostar cirka 2500 kronor per år och användare. 50 användare inom organisationen har SITHS-kort. Handläggare inom socialförvaltningen är de vanligaste användarna med denna behörighet. 47
Stark autentisering
Cyberbrott 49 Källa: Verizon DIBR 2015 - Variety of hacking actions within Web App Attacks pattern
Användarna är mogna Apple, Facebook, Google m.fl. erbjuder det Mobilt BankID, banktjänster etc.
Utmaningen Kostsam och tidskrävande administration Dyrbar hårdvara Inte alltid vald MFA-lösning passar i alla situationer 52
Utmaningen Användarna efterfrågar nya metoder Hårdvarubaserade Radius (YubiKey) Biometric SmartCards: Certifikat ProxCards: Tap-n-Go Telefonbaserade 53 One Time Password (OTP) Voice SMS
Utmaningen Access punkter IT-infrastruktur: Windows Linux Fjärråtkomst VPN Gateways Cloud/Web: Web applikationer Intranät Federerade tjänster ADFS Övrigt Signerade transaktioner Autentiseringsmetoder Smarta kort Biometri Fingeravtryck etc Smartphone One-Time-Password (OTP), Out-of-Band, LiveEnsure Radius Lösenord via SMS etc Tokens Software tokens, hardware tokens Något man vet Lösenord, PIN, challenge-response
Stark autentisering Access punkter IT-infrastruktur Windows Linux Fjärråtkomst VPN Gateways Cloud/Web Web applikationer Intranät Federerade tjänster ADFS Övrigt Signerade transaktioner Autentiseringsmetoder Smarta kort Biometri Fingeravtryck etc Smartphone One-Time-Password (OTP), Out-of-Band, LiveEnsure Radius Lösenord via SMS etc Tokens Software tokens, hardware tokens Något man vet Lösenord, PIN, challenge-response
Dataskyddsförordningen Data breach (intrång eller incidenter) Anmälningskyldighet Goodwill Kostnad för administration, kommunikation och revision Säkra upp konton med höga behörigheter
Stark Autentisering Säkra upp konton med höga behörigheter Ett enkelt sätt att höja säkerhet Gör det enkelt för användaren Ett steg närmare EUs Dataskyddsförodning
www.microfocus.com